---

https://www.ithome.com.tw/news/136943

中國出現新的勒索軟體WannaRen大規模攻擊，臺灣用戶要小心加以防範

文/周峻佑 | 2020-04-13發表


類似WannaCry的大規模勒索軟體攻擊再度於中國上演！

當地有許多用戶遭到一款名為WannaRen的勒索軟體攻擊，



然而，難道一般的個人使用者可以鬆了一口氣，不再需要防範勒索軟體了嗎？

恐怕答案是否定的。最近在中國卻傳出有許多使用者到論壇反應，

他們的電腦中了一款名為WannaRen的勒索軟體病毒，駭客加密電腦裡的檔案後，

要求他們支付0.05個比特幣來換取解密金鑰。當地的資安廠商表示，

這起攻擊事件的手法，是該國的駭客組織模仿3年前的WannaCry勒索軟體事件，

濫用美國國家安全局開發的永恆之藍（EternalBlue）漏洞工具，

並且透過軟體下載網站來散播勒索軟體病毒。

值得留意的是，WannaRen僅有在中國引發高度關切，

其他國際級資安業者大多並未特別揭露其細節。

由於臺灣與中國之間的往來相當密切，先前群創光電傳出辦公室電腦遭受攻擊之際，

外界便有人猜測，極有可能是電腦感染了WannaRen，不過，群創光電並未證實，



但是根據火絨安全與奇虎360兩家防毒業者的分析，其造成的影響也相當嚴重，


我們也需要留意這個勒索軟體是否會散播到臺灣。



檔案需要解密工具來復原。隨後當地的其他網友也加入討論，有些人表示，



驚覺自己的電腦也中了這個勒索軟體，但他們既沒有下載檔案，


也並未瀏覽來路不明的網站。



不過，整起攻擊事件受到中國當地的網友與媒體關切多日之後，


事情有了180度大轉變。4月9日，有一名使用火絨防毒軟體的受害用戶，

由於支付贖金後檔案沒有復原，嘗試向駭客請求解密方法，

竟意外收到宣稱是解密金鑰的回覆，駭客也要求該名受害者轉交給資安公司。

火絨安全公司收到後，驗證金鑰確實能解密後便將其公布，

讓其他的防毒廠商能一起製作對應的解密工具。

當地常見的軟體下載網站成駭客發動攻擊管道

至於WannaRen的攻擊途徑為何？火絨安全公司認為，

駭客應該是透過軟體下載網站來散布。他們發現到一個名為西西軟件園的下載網站上，

所提供的Notepad++開源記事本軟體，遭到了竄改，

夾帶了具有與WannaRen相同特徵的惡意軟體，因此該公司研判，

這種提供各式電腦軟體的下載網站，成為駭客偷渡勒索軟體的管道。



火絨安全取得西西軟件園的Notepad++安裝檔案並加以分析後發現，


這個已經遭到植入WannaRen攻擊工具的檔案，執行安裝的同時，

也會一併執行PowerShell指令（紅框處），來下載勒索軟體和挖礦工具。

對於手法上的解析，資安公司陸續發現，WannaRen不只是加密檔案，向受害者勒索，

還會暗中挖礦謀利。火絨安全與奇虎360安全中心皆指出，

WannaRen在成功滲透到電腦之後，會像WannaCry執行檔案加密，並且透過永恆之藍漏洞

，擴散到其他電腦，同時向受害者要求支付贖金。但除此之外，

WannaRen是使用PowerShell腳本來下載攻擊工具，

而且還納入了文件索引軟體Everything，藉由其中的HTTP檔案伺服器功能，

方便攻擊者當作跳板，來散播惡意軟體到其他電腦。

雖然WannaRen與WannaCry的攻擊模式有共通之處，

但是上述兩家當地防毒廠商表示，兩者之間沒有直接關連，



同時這個組織也相當擅長濫用永恆之藍這個漏洞，但可能是因為挖礦的獲利有限，

使得他們改造攻擊工具，加入勒索軟體的功能，來直接向受害者來勒索贖金。

針對WannaRen的攻擊行為，奇虎360透過流程圖來指出其流程，

駭客先藉由永恆之藍漏洞滲透受害電腦，

然後使用PowerShell腳本來下載勒索軟體和挖礦木馬，

進行加密電腦檔案和挖礦兩種攻擊工作。
--
中國特色病毒

--
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 114.136.180.208 (臺灣)
※ 文章代碼(AID): #1Ub7de_e (Gossiping)
※ 文章網址: https://www.ptt.cc/bbs/Gossiping/M.1586788840.A.FE8.html